ITpro Special ITpro
J-SOXがスタートして見えてきた“本当の”内部統制
Vol.5 IT全般統制の実現に向けたIT資産管理
今月、金融商品取引法(J-SOX法)が施行されてから最初の決算を迎える企業は少なくないだろう。今回まで5回にわたり、J-SOX法に対応した初めての決算をターゲットに、企業が最優先で行うべき内部統制をさまざまな角度から考えてきた今シリーズも、いよいよ最終回。今回はIT資産管理について、内部統制の観点から、その課題と解決策を考えていく。今回も、富士通 ソフトウェア事業本部 ミドルウェア事業統括部 プロジェクト課長 堀江隆一氏に聞いた。

システム運用基盤の統制には、全社的なIT資産管理が必要

堀江 隆一 氏

富士通株式会社
ソフトウェア事業本部
ミドルウェア事業統括部
プロジェクト課長
堀江 隆一 氏

 内部統制における財務/会計システムが正しく運用されるためには、稼働するアプリケーションの運用だけでなく、運用基盤としてのハードウェア/ソフトウェアの環境が正しく維持されていることが必要である。

 そのためには、前回まで紹介してきたシステムの直接的な統制はもちろん、システム全体におけるインフラ環境の統制も必要である。

 しかし、「現状では、全社のIT資産を確実に把握している企業は多くはない」と堀江氏は次のように語る。「もちろん利用を始めた時には台帳に記入されますが、多くの場合、更新は1年に1回の棚卸しで反映する程度です。しかし、人の異動や組織変更に伴って、ハードウェアの移動やソフトウェアの新規導入、バージョンアップなど、IT資産の構成はかなりの頻度で変更されています。そのため、台帳と実態が乖離してしまうのです」

 棚卸しにかかる手間暇も問題だ。台帳と突き合わせながら、各部門を回って現物を確認するだけで多くの工数がかかるし、人と共に機器が移動してしまえば追跡調査をしなければならない。まして、PCに入っているすべてのソフトウェアを確認するには、膨大な工数がかかってしまう。

コンプライアンスや投資の適正化、セキュリティからも求められるIT資産管理

 さらに内部統制では、IT資産が変更された場合、変更履歴が残っている必要があるが、年1回の棚卸しだけでは、いつ、どのように変更されたかを確実に把握することは難しい。これでは、問題があって追跡調査をしなければならないような場合、対処ができない。

 同時に、コンプライアンスや投資の適正化、セキュリティの観点からも、IT資産の把握と管理は必須である。たとえば、ソフトウェアのライセンスは、利用しているソフトウェアよりもライセンス数が少ないとライセンス違反となってしまい、コンプライアンス上、重大な問題となる。逆に、ライセンスの方が多ければ、本来、必要のないコストをかけていることになる。

 また、統制のひとつの側面であるセキュリティの観点からも、IT資産の把握は重要だ。たとえば、廃棄PCのHDD内のデータを適切に消去したか、といったことが管理できなければ、セキュリティ上のリスクを抱えることにもなる。

IT資産の「見える化」が、管理の第一歩

 これらの課題を解決するために最も重要なのは、まずIT資産を「見える化」することである。

 そのためには、クライアントPCのインベントリ情報を自動的に収集するしくみが有効だ。ハードウェア/ソフトウェア構成を自動的に収集できれば、機器が他部門に移動してしまっても把握可能。ソフトウェアのバージョンなどまで確実にわかるので、ライセンス管理も容易にできる。

 もちろん、自動化によって、工数の削減に圧倒的な効果がある。堀江氏は、「ある企業では、棚卸しに90日間もかかっていました。これを自動化することによって、少なくともPCに関しては、棚卸しに要する日数も工数もほぼゼロとなり、大幅なスピードアップと工数削減が可能になります」

 さらに、ネットワーク上のサーバ、クライアントPCなどと、それらを使用するユーザーの属性やアクセス権を一元管理し、権限に応じた利用を実現するActive Directoryと連携がとれれば、組織変更を資産管理台帳へ自動的に反映できる。

IT資産の把握により、有効活用やリスク軽減を実現

 IT資産の「見える化」が実現すれば、有効活用が可能になる。

 遊休資産を必要な部門に移すなど、全社で共有することでムダを省くことができる。また、廃棄時のプロセスやルールを確立し、OSやソフトウェアのライセンスを回収して、ほかに転用するしくみができれば、その分のライセンスのムダも省ける。

 さらに、現状を把握し、ライフサイクルでの管理を実施することにより、ライセンス違反やHDD内にデータを残したままPCを廃棄するような危険を回避でき、コンプライアンスやセキュリティのリスクも大幅に軽減することができる。

結果の確認や報告書の作成も必須

 「見える化」は統制の第一歩だが、内部統制では、それだけでは十分でない。定期的な棚卸しと構成変更の履歴を契約とあわせて管理し、結果を確認したという証拠を残すことが必要だ。

 さらに、棚卸し結果や契約情報の報告書も必要。システムですべての情報を一元的に管理していれば、これらの報告書を比較的容易に作成することも可能になる。

Systemwalkerが実現するIT資産の適正管理と効率化

 上記のように全社のIT資産を把握・管理し、棚卸しなどの確認結果の保存や報告書の作成までを実現するのが、富士通の「Systemwalker Desktop Patrol」と「Systemwalker Desktop Patrol Assessor」だ。

 これらを導入することで、統制の強化や効率化を実現した、ある地方銀行のケースを紹介しよう。

A銀行の課題
◎棚卸しの際、台帳の情報と実態がかけ離れているため、機器の確認と台帳の修正に多くの工数がかかっていた。
◎部門ごとに機器を購入しており、どこでどのような機器を保有しているかを正確に把握できていなかった。
◎PCの入れ替えが多く、台帳による管理では間に合わなくなっていた。

上記課題を解決するため、同社は「Systemwalker Desktop Patrol」と「Systemwalker Desktop Patrol Assessor」を導入し、以下のようなメリットを得た。

導入効果
◎棚卸しの効率化
・全国25拠点のすべてのPCから自動的にインベントリ情報を収集するので、PCの棚卸しには、ほとんど工数がかからなくなった。
・プリンタやUSBメモリなど自動収集できない機器も、構成内容を記録したバーコードを機器に貼り付けることによって、ハンディターミナルで読み取るだけで棚卸しが可能になった。

◎最新の実態を正確に把握
・常に最新のインベントリ情報を自動収集するので、台帳と実態の乖離がない。

◎機器ごとに契約内容を確実に把握
・リース機器の契約と実態が管理でき、保守切れや返却漏れがなくなった。
・廃棄時にソフトウェアのライセンスを回収するプロセスが確立し、ライセンスのムダがなくなった。

◎情報漏えい対策も実現
・PC廃棄時にHDD内のデータを確実に消去するためのツールを利用することで、データを消去するだけでなく、データを消去したことを記録して自動的に機器を台帳から抹消。

 以上、5回にわたって重要度が高い内部統制上の課題と、Systemwalkerが実現する課題解決について紹介してきた。もう待ったなしのJ-SOX対応だが、初年度は手作業での対応が残ってしまった企業も少なくないはず。しかし、監査はこれから毎年続く作業である。少しずつでも改善を重ね、統制がとれた効率的なシステム運用を実現していただきたい。

 

Systemwalker特集サイト システム構成の把握は、確実なIT資産管理から

セミナー

ITproについて会員登録・メールマガジン購読ITproプレミアム(有料サービス)MyITproについてITpro Researchについて
ITproへのお問い合わせ・ご意見日経BP書店日経BPケータイメニュー広告について
著作権リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用についてサイトマップ

日経BP社Copyright (C) 1995-2010 Nikkei Business Publications, Inc. All rights reserved.
このページに掲載されている記事・写真・図表などの無断転載を禁じます。著作権は日経BP社,またはその情報提供者に帰属します。
掲載している情報は,記事執筆時点のものです。